NotLockBit, nou atac de ransomware desconegut per a Windows i MacOS

Una nova família de ransomware, coneguda com NotLockBit, ha emergit com un perill significatiu en l'àmbit de la ciberseguretat. Aquest ransomware replica moltes de les tàctiques i comportaments del reconegut LockBit, però es destaca per introduir capacitats innovadores i un enfocament multiplataforma que afecta tant macOS com Windows.

Desenvolupat com un binari x86_64 en el llenguatge Go, NotLockBit es caracteritza per un disseny avançat que incorpora funcions destacades:

  1. Xifrat selectiu d'arxius: utilitza algorismes robusts com AES i RSA per bloquejar dades crítiques.
  2. Exfiltració d'informació: transfereix arxius robats a servidors controlats pels atacants, sovint mitjançant serveis com Amazon S3, facilitant l'estratègia de doble extorsió.
  3. Autoesborrat: elimina els seus propis rastres, incloses les còpies de seguretat, per dificultar la recuperació.

Segons una anàlisi exhaustiva realitzada per Qualys, NotLockBit exhibeix un nivell notable de sofisticació tècnica, des del seu procés inicial de reconeixement fins al xifrat de dades.

Procés d'atac

La primera etapa de l'atac consisteix en la recopilació de dades del sistema utilitzant el mòdul go-sysinfo per obtenir informació detallada, com ara especificacions de maquinari, configuració de xarxa, detalls del sistema operatiu i UUID.

El xifratge es duu a terme en tres passos clau:

  1. Clau RSA: descodifica una clau pública RSA des d'un fitxer PEM incorporat.
  2. Clau mestra: genera una clau de xifrat aleatòria, xifrada amb RSA.
  3. Xifratge de fitxers: aplica aquesta clau per xifrar fitxers, excloent directoris del sistema com /proc/, /sys/ i /dev/.

Els fitxers xifrats romanen a la vostra ubicació original, reanomenats amb un identificador únic i l'extensió .abcd. Alhora, els fitxers originals s'eliminen per impedir la seva recuperació sense la clau privada.

Abast de l'atac

NotLockBit apunta a una àmplia varietat de fitxers, incloent:

  • Documents personals: .doc, .pdf, .txt.
  • Arxius professionals: .csv, .xls, .ppt.
  • Contingut multimèdia: .jpg, .png, .mpg.
  • Dades de màquines virtuals: .vmdk, .vmsd, .vbox.

A més del xifrat, aquest ransomware extreu informació confidencial cap a servidors remots. Això habilita una estratègia de doble extorsió: exigir un rescat sota la amenaça de divulgar o vendre les dades robades.

Un cop completat el xifratge, el ransomware reemplaça el fons de pantalla de la víctima amb una nota de rescat i executa el seu mecanisme d'autoeliminació, eliminant-ne tant el binari com les còpies ocultes.

Tècniques d'ocultació

NotLockBit utilitza diversos mètodes d'ofuscació per evitar la detecció:

  • Algunes funcions visibles tenen noms que amaguen el propòsit real.
  • Els binaris poden estar altament ofuscats o fins i tot eliminats, i dificulten l'anàlisi per part dels investigadors.

S'han identificat variants que ometen l'exfiltració de dades, enfocant-se exclusivament al xifratge, cosa que suggereix que els atacants estan adaptant les seves estratègies o continuen desenvolupant aquest malware.

Recomanacions

Per mitigar l'impacte de NotLockBit, es recomanen les mesures següents:

  1. Còpies de seguretat regulars: mantingueu respatllers desconnectats de dades essencials.
  2. Protecció avançada d'endpoints: implementi solucions capaces de detectar comportaments propis del ransomware.
  3. Seguretat a la xarxa: utilitzeu tallafocs, sistemes de detecció d'intrusions i controls d'accés rigorosos.
  4. Capacitació del personal: eduqui els usuaris sobre phishing, enginyeria social i tàctiques similars.

Aquesta família de ransomware exigeix una estreta vigilància per part dels investigadors de seguretat i defenses sòlides per part de les organitzacions per frustrar-ne les conseqüències potencialment devastadores.

Cada cop és més evident la necessitat de monitoritzar els comportaments dels endpoints, i així, poder donar resposta anticipada a qualsevol esdeveniment no legítim que pugui comprometre els nostres recursos. 

«Des del nostre SOC podem ajudar-te a no preocupar-te per aquest tipus d'atacs, que s'escapen de les mans de qualsevol tècnic no especialitzat, posa't en contacte amb nosaltres»

Imatge de Iker Berbel

Iker Berbel

Consultor IT

Altres continguts que et poden intersar:

Ciberatac a Endesa: anàlisi de l'incident i lliçons Tendències de Ciberseguretat 2025 Microsoft elimina el xifrat RC4 després de 25 anys Utilitza programari antivirus i antimalware Log4Shell: La vulnerabilitat que va sacsejar el món de la ciberseguretat Default ThumbnailVulnerabilitats crítiques en impressores HP
Comparteix aquest contingut:

Calendari de la Ciberseguretat /26

Demana'l gratis!
LIVE WEBINAR | 1/2/2024

Com protegir el teu Active Directory d'atacs Ransomware amb Tenable

Accedeix al workshop

Servei d'avisos

Rep les alertes de seguretat més importants al teu email
Infordisa / Security Operations Center
Powered by  Compliment de les cookies GDPR
Resum de privacitat

Aquest lloc web utilitza cookies per tal de proporcionar-vos la millor experiència d’usuari possible. La informació de les cookie s’emmagatzema al navegador i realitza funcions com ara reconèixer-vos quan torneu a la pàgina web i ajuda a l'equip a comprendre quines seccions del lloc web us semblen més interessants i útils.